jwt应该保存在哪里

最新推荐文章于 2023-10-12 14:12:44 发布
最新推荐文章于 2023-10-12 14:12:44 发布
阅读量1.6k 收藏 9
点赞数 1
分类专栏: 前端 文章标签: 前端 java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shaoming314/article/details/125710143
版权

JWT 应该保存在哪里

参考网址:

https://mp.weixin.qq.com/s/iMjny6ehvr1JZR9nJA3VGQ

前置说明

看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的存放位置 , 每个项目都是有点差异 , 有的存放在 cookie , 有的存放在 LocalStorage , 有的存放在 SessionStorage , 经过本文的阅读 , token 存放在 cookie 是最好的一个方案

Cookie

服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验证。但它容易受到CSRF攻击的影响。

解决的方法是通过设置Cookie的SameSite属性为Strict。跨站时不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Cookie除了易受CSRF攻击还有XSS攻击。黑客可以通过JS脚本读取Cookie中的信息。为了防止这一点,可以设置Cookie的属性为HttpOnly

response.setHeader("Set-Cookie", "jwt=jwt_value;Path=/;Domain=domainvalue;Max-Age=seconds;HttpOnly");

你可以通过设置Max-Age来设置其生存时间。

localStorage

localStorage也可以存储JWT令牌,这种方法不易受到 CSRF 的影响。但是和Cookie不同的是它不会自动在请求中携带令牌,需要通过代码来实现。不过这样会受到XSS攻击。另外如果用户不主动清除JWT令牌,它将永远存储到localStorage。

sessionStorage

sessionStorage大部分特性类似localStorage,不过它的生命周期不同于localStorage,它是会话级存储。关闭页面或浏览器后会被清除

总结

您可能会注意到所有 3 种方法都有相同的缺点——“易受 XSS 攻击”。请特别注意 XSS的防护,并始终遵循XSS保护的最佳实践。

结论

三种形式都容易收到XSS攻击,因此如果对安全性要求很高,要特别针对性的配置。在三种方式之中,Cookie 提供了一堆安全选项,例如SameSiteHttpOnly等。因此最好使用 Cookie。

项目举例

gitee 上排名靠前的项目 token 存放的位置和对应的源码

ruoyi-vue

官网地址:

https://ruoyi.vip/

ruoyi-vue 前后端分离在线体验地址

http://vue.ruoyi.vip/

源码地址

https://gitee.com/y_project/RuoYi-Vue

image-20220710194306576

对应前端源码

ruoyi-ui/src/utils/request.js

// request拦截器
service.interceptors.request.use(config => {
  // 是否需要设置 token
  const isToken = (config.headers || {}).isToken === false
  // 是否需要防止数据重复提交
  const isRepeatSubmit = (config.headers || {}).repeatSubmit === false
  if (getToken() && !isToken) {
    config.headers['Authorization'] = 'Bearer ' + getToken() // 让每个请求携带自定义token 请根据实际情况自行修改
  }
  ...

找到 getToken() 方法 —> ruoyi-ui/src/utils/auth.js

import Cookies from 'js-cookie'

const TokenKey = 'Admin-Token'

// 获取 token
export function getToken() {
  return Cookies.get(TokenKey)
}

// 设置 token
export function setToken(token) {
  return Cookies.set(TokenKey, token)
}

export function removeToken() {
  return Cookies.remove(TokenKey)
}

TokenKey, token)
}

export function removeToken() {
return Cookies.remove(TokenKey)
}
不会打字314
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django使用JWT保存用户登录信息
01-21
在使用前必须弄明白JWT的相关知识,可以看我的另一篇博文:https://www.jb51.net/article/166843.htm 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的...JWT最普遍的一个作用就是用来保存
JWT应该保存在哪里?
码农小胖哥
10-11 6353
最近几年的项目我都用JWT作为身份验证令牌。我一直有一个疑问:服务端发放给浏览器的JWT到底应该存储在哪里?这里只讨论浏览器的场景,在这个场景里有三种选择。Cookie服务端可以将JWT令...
关于jwt的token是否需要存储到redis的探讨与个人想法
热门推荐
godHhh的博客
12-16 1万+
最近我在开发项目的注册登录模块,用到的技术是Jwt,做完后若有所思,现将想法分享给大家一同探讨,先来大概的了解一下jwt技术。 什么是jwt? ​ Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息
JWT、OOS、Oauth三种登录验证机制
脚踏实地
07-25 1411
JWT(Json web token) 参考 传统方案: 问题: 浏览器存储sessesid,服务器集群, 信息存在在后台统一的session服务器 没有分布式架构,无法支持横向扩展 本质:存储信息在服务端 jwt的目的 解决跨域 多个服务器 JWT实现: 在服务器身份验证之后,将生成一个JSON对象并将其发送回用户 ··· { “UserName”: “Chongchong”, “Ro...
你的JWTs存储在哪里
小马亦识途
07-01 6741
如何存储这些令牌。如果你正在构建一个web应用程序,你有两种选择: HTML5 Web Storage (localStorage或sessionStorage) Cookies 比较这两个,假设我们有一个虚构的AngularJS或单页应用(SPA)叫做galaxies.com,登录路由(/token)验证用户身份返回一个JWT。访问你的SPA其他API端点服务,客户端需要传递一个有效的JWT
Jwt 中 token应该存储到哪里?
weixin_30548917的博客
08-02 4995
关于 token 的存储问题 JWT: csrf 攻击无法获取第三方的 cookie,而是直接使用 cookie进行查询的时候会自动携带 cookie。 xss攻击通过代码注入可以获取 cookie。需要设置转义。 方式一、客户端使用 cookie直接认证,需要设置 cookie为 httpOnly,可以防止 xss攻击。但是无法防止 csrf攻击。需要设置伪随机数X-XS...
JWT Token存储在Cookie还是LocalStorage
cjl969911737的博客
07-28 8684
JWT 是将web 应用无状态化的一种方式。 1. 首先拿到JWT Token HTTP/1.1 POST /token Host: galaxies.com Content-Type: applic...
jwt 本地存储的三种方式
XWenXiang的博客
07-02 1458
jwt 即对用户登录状态的一种标识,我们带着其返回的 token 来向后端发起请求,后端服务器根据 token 进行判断是否正确,过期来判断用户的状态,进而决定是否向前端发送数据。这里记录一下前端如何对 token 或者其他数据进行存储。属于本地存储,浏览器关闭后便失效 3. localStorage 属于本地存储,长期有效,浏览器关闭之后也有效。用法与上面类似...............
关于jwt的token是否要存储到redis的问题探讨
keleyayalo的博客
06-28 1815
在开发项目的登录模块的时候,采用了Jwt+redis,做完后若有所思,为什么用了Jwt还要加redis,是否有些多余,于是查阅资料,有了一些了解,如果有不足的地方请大家帮忙纠正。
jwt简单的介绍和了解
10-27
用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。 cookie+session这种模式通常是保存在内存中,而且服务从单服务到多...
在Angular中使用JWT认证方法示例
12-09
在基于session的认证中,每个用户都要生成一份session,这份session通常保存在内存中,随着用户量的增加,服务端的开销会增大,而且对分布式应用不是很友好。 在token认证中,服务端不需要保留用户认证信息。当用户...
nginx、lua、jwt安装包及蓝绿发布代码
02-28
luajit2-2.1-20220411.tar.gz #luajit官网存在一定的坑,下载openresty的优化版本 lua-nginx-module-0.10.22.tar.gz # 0.10.16 以后都需要 lua-resty-core和lua-resty-lrucache lua-resty-core-0.1.24.tar.gz [lua-...
基于JWT.NET的使用(详解)
12-31
因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT的结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature,例如: eyJ0...
在哪里存储你的JWT —— Cookies vs HTML5 Web存储
huzhenv5的博客
03-01 1562
作者:Tom Abbott | 2016年1月8日 源文章地址:Where to Store your JWTs – Cookies vs HTML5 Web Storage 文章目录前言JSON Web TOKEN(JWT):速成课程在哪里存放你的JWT本地存储或sessionStorage (Web存储)Cookie存储两者区别结论 前言 要创建一个java应用吗?JJWT是一个提供端到端JW...
小结:使用 JWT 时,Cookie 需要做的配置
A minor
02-17 711
我们先来看看在项目中使用 JWT 时所作的配置(包括 jwt 和 cookie 配置) jwt: secret: xusm@Login(Auth}*^31)&heiMa% # 登录校验的密钥 pubKeyPath: C:\temp\rsa\xusm\rsa.pub # 公钥地址 priKeyPath: C:\temp\rsa\xusm\rsa.pri # 私钥地址 expire: 45 # 过期时间,单位分钟 cookie: domain: bbs.xysmxh.com # lo
SpringSecurity + jwt + vue2 实现权限管理 , 前端Cookie.set() 设置jwt token无效问题(已解决)
最新发布
刘跃辉的博客
10-12 1187
今天也是日常写程序的一天 , 还是那个熟悉的IDEA , 还是那个熟悉的Chrome浏览器 , 还是那个熟悉的网站 , 当我准备登录系统进行登录的时候 , 发现会直接重定向到登录页 , 后端也没有报错 , 前端也没有报错 , 于是我得脸上又多了一张痛苦面具 , 紧接着在前端疯狂debug…寻找问题 , 我前端登录的部分逻辑是这样的 :1.登录成功之后 , 后端会响应一个jwt token , 这个jwt token的载荷有角色、权限、用户等信息。
JWT
JustinNeil的博客
08-13 251
JWT简介JWT 数据格式HeaderPayloadSignatureJWT交互流程JWT存在的问题 简介   JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的Java 实现是GitHub 上的开源项目 jjwt,地址如下:https://github....
Cookie、Session、Token、JWT
weixin_44121529的博客
03-30 1320
五、Cookies、Session、Token 早起互联网世界只有文字的获取,HTTP本身是无状态协议 HTTP协议: 1、发送一个登录请求,返回登录成功 2、发送一个查询信息请求,返回“请重新登录” HTTP协议的请求之间,没有联系,无记忆,相互独立,但是实际生产中,我们需要请求之间相互联系,有身份校验、流程关联等 Cookies Cookie的产生 1、cookie是由服务器产生,当浏览器第一次访问服务器,且服务器有httpSession方法,服务器此时并不知道他的身份,所以就会创建一个独特的身份标识
cdn方式引入外部的js库
java技术博客
08-13 4429
cdn方式引入外部的js库 1.引入jQuery <!-- 引入jQuery使用cdn的方式引入jQuery --> <script src="http://lib.sinaapp.com/js/jquery/2.0.2/jquery-2.0.2.min.js"></script> 2.引入vue.js //开发版本: <!-- 开发环境版本,包含了有帮助的命令行警告 --> <script src="https://cdn.jsde
java判断jwt是否存在
06-07
判断JWT是否存在可以有多种方法,以下是一种通用的方法示例: ``` public boolean isJwtExist(HttpServletRequest request) { String authorizationHeader = request.getHeader("Authorization"); return authorizationHeader != null && authorizationHeader.startsWith("Bearer "); } ``` 该方法接受一个HttpServletRequest对象作为参数,并返回一个布尔值,指示JWT是否存在。它首先获取Authorization头部的值,然后检查它是否为null并且是否以“Bearer”开头。 可以使用以下代码来调用此方法: ``` if (isJwtExist(request)) { System.out.println("JWT exists"); } else { System.out.println("JWT does not exist"); } ``` 该代码将检查JWT是否存在,并输出相应的消息。如果JWT存在,则输出“JWT exists”,否则输出“JWT does not exist”。 请注意,此方法假设JWT是通过Authorization头部发送的。如果您使用其他方法发送JWT,请相应地修改该方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值